EP2311218B1

EP2311218B1 - Verwaltung von http-authentifizierung und -autorisierung

Info

Publication number: EP2311218B1
Application number: EP09801062.2A
Authority: EP
Inventors: Kailash Kailash; Shashidhara Mysore Nanjundaswamy; Amarnath Mullick; Jose Raphel
Original assignee: Zscaler Inc
Current assignee: Zscaler Inc
Priority date: 2008-07-24
Filing date: 2009-07-24
Publication date: 2018-12-26
Anticipated expiration: 2029-07-24
Also published as: US20100023762A1; WO2010011916A2; EP2311218A2; US8806201B2; EP2311218A4; WO2010011916A3

Claims

Computerimplementiertes Verfahren, das umfasst:
Empfangen, an einem Verarbeitungsknoten (110), eines aktuellen öffentlichen Epoch-Keys eines aktuellen Epoch-Key-Paars, wobei ein Attribut des aktuellen öffentlichen Epoch-Keys eine aktuelle Key-Epoch-ID ist, die die aktuelle Epoche des aktuellen öffentlichen Epoch-Keys identifiziert, wobei eine Epoche eine Messung eines Zeitraums umfasst;

Empfangen, an dem Verarbeitungsknoten (110), von autorisierten Nutzerdaten, die einer Anforderung von einem Nutzer nach Inhalt aus einem externen System zugeordnet sind, wobei das externe System außerhalb des Nutzers und außerhalb des Verarbeitungsknotens ist, die autorisierten Nutzerdaten auf Authentifizierungsdaten basieren, wobei sich die Authentifizierungsdaten auf eine Validierung der Benutzeridentität beziehen und wobei sich die Autorisierungsdaten auf eine Berechtigung des Nutzers zur Erledigung einer Aktion entsprechend den Sicherheitsrichtlinien beziehen, und wobei der Verarbeitungsknoten über das Internet durch einen Tunnel, einen Transparent-Proxy, einen Forward-Proxy oder durch Umleitung zu dem Verarbeitungsknoten kommunikativ mit dem Nutzer gekoppelt ist und sämtliche Kommunikationen des Nutzers durch den Verarbeitungsknoten laufen;

Entschlüsseln, an dem Verarbeitungsknoten (110), der autorisierten Nutzerdaten unter Verwendung des öffentlichen Epoch-Keys;

Bestimmen, ob die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war;

wenn die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Identifizieren, an dem Verarbeitungsknoten (110), einer Nutzer-Epoch-ID aus den entschlüsselten autorisierten Nutzerdaten;

wenn die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Bestimmen an dem Verarbeitungsknoten (110), ob die Nutzer-Epoch-ID in einem Bereich von gültigen Epoch-IDs liegt, um die Gültigkeit der Authentifizierungsdaten und der Autorisierungsdaten zu bestimmen, wobei der Bereich von gültigen Epoch-IDs eine Vielzahl von gültigen Epoch-IDs für die aktuelle Epoche und für eine vorhergehende Epoche vor der aktuellen Epoche umfasst;

Bestimmen einer betrügerischen Erstellung der Authentifizierungsdaten oder der Autorisierungsdaten auf der Basis einer fehlgeschlagenen Entschlüsselung oder wenn die Entschlüsselung erfolgreich ist und die Nutzer-Epoch-ID aus der Entschlüsselung nicht die gültige Epoch-ID ist; und

wenn die Nutzer-Epoch-ID im Bereich von gültigen Epoch-IDs liegt und die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Verarbeiten der entschlüsselten Nutzerdaten und der Anforderung.
Verfahren nach Anspruch 1, bei dem eine Epoch-ID ein Zeitstempel ist.
Verfahren nach Anspruch 1, bei dem der öffentliche Epoch-Key zum Entschlüsseln von Daten, die unter Verwendung des privaten Epoch-Keys verschlüsselt worden sind, verwendet wird.
Verfahren nach Anspruch 1, bei dem die autorisierten Nutzerdaten in Form eines http-Cookies vorliegen.
Verfahren nach Anspruch 1, das ferner umfasst:
wenn die Entschlüsselung der autorisierten Nutzerdaten nicht erfolgreich ist, Anfordern einer Nutzerautorisierung von dem Client-Browser (402).
Verfahren nach Anspruch 1, das ferner umfasst:
wenn die Nutzer-Epoch-ID keine gültige Epoch-ID ist, Anfordern einer Nutzerautorisierung von dem Client-Browser (402).
Verfahren nach Anspruch 1, bei dem das Verarbeiten der entschlüsselten Nutzerdaten und der Anforderung umfasst:
Bestimmen an dem Verarbeitungsknoten (110) auf der Basis der Nutzerdaten, ob die Anforderung autorisiert ist;

wenn die Anforderung autorisiert ist, Genehmigen der Anforderung.
Verfahren nach Anspruch 1, bei dem das Bestimmen an einem Verarbeitungsknoten (110), ob die Nutzer-Epoch-ID eine gültige Epoch-ID ist, das Bestimmen an dem Verarbeitungsknoten (110), umfasst, ob die Nutzer-Epoch-ID die aktuelle Epoch-ID ist.
Verfahren nach Anspruch 1, bei dem das Bestimmen an einem Verarbeitungsknoten (110), ob die Nutzer-Epoch-ID eine gültige Epoch-ID ist, das Bestimmen an dem Verarbeitungsknoten (110), umfasst, ob bestimmt worden ist, dass die Nutzer-Epoch-ID in einem Bereich von gültigen Epoch-IDs liegt.
Verfahren nach Anspruch 1, bei dem der Bereich von gültigen Epoch-IDs die aktuelle Epoch-ID und eine Epoch-ID einer Epoche vor der aktuellen Epoche umfasst.
Verfahren nach Anspruch 9, bei dem das Verarbeiten der entschlüsselten Nutzerdaten und der Anforderung umfasst:
Bestimmen, ob die Nutzer-Epoch-ID die aktuelle Epoch-ID ist;

wenn die Nutzer-Epoch-ID nicht die aktuelle Epoch-ID ist, Anfordern von aktuellen autorisierten Nutzerdaten, die der aktuellen Epoch-ID zugeordnet sind;

Liefern der aktuellen autorisierten Nutzerdaten zu dem Client-Browser (402).
Verfahren nach Anspruch 1, bei dem das Identifizieren, an dem Verarbeitungsknoten (110), einer Nutzer-Epoch-ID aus den entschlüsselten autorisierten Nutzerdaten umfasst:
Identifizieren, aus den entschlüsselten autorisierten Nutzerdaten, einer vorbestimmten Zuweisung der autorisierten Nutzerdaten zu Nutzeranmeldeinformationen; und

Identifizieren der Nutzeranmeldeinformationen aus den entschlüsselten autorisierten Nutzerdaten.
Verfahren nach Anspruch 12, das ferner umfasst:
Identifizieren einer Nutzer-Epoch-ID aus dem Teil der entschlüsselten autorisierten Nutzerdaten, die nicht den Nutzeranmeldeinformationen zugewiesen sind.
Software, die auf einem computerlesbaren Medium gespeichert ist und Anweisungen umfasst, die von einem Datenverarbeitungssystem ausführbar sind und bei einer solchen Ausführung bewirken, dass das Datenverarbeitungssystem (110) Operationen durchführt, die umfassen:
Empfangen eines aktuellen öffentlichen Epoch-Keys eines aktuellen Epoch-Key-Paars, wobei ein Attribut des aktuellen öffentlichen Epoch-Keys eine aktuelle Key-Epoch-ID ist, die die aktuelle Epoche des aktuellen öffentlichen Epoch-Keys identifiziert, wobei eine Epoche eine Messung eines Zeitraums umfasst;

Empfangen, von einem Nutzer, einer Anforderung nach Inhalt aus einem relativ zu dem Datenverarbeitungssystem externen System und autorisierter Nutzerdaten, die der Anforderung zugeordnet sind, wobei die autorisierten Daten auf Authentifizierungsdaten basieren, wobei sich die Authentifizierungsdaten auf eine Validierung der Benutzeridentität beziehen und wobei sich die Autorisierungsdaten auf eine Berechtigung des Nutzers zur Erledigung einer Aktion entsprechend den Sicherheitsrichtlinien beziehen;

Entschlüsseln der autorisierten Nutzerdaten unter Verwendung des öffentlichen Epoch-Keys;

wenn die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Identifizieren einer Nutzer-Epoch-ID aus den entschlüsselten autorisierten Nutzerdaten;

wenn die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Bestimmen, ob die Nutzer-Epoch-ID in einem Bereich von gültigen Epoch-IDs liegt, um die Gültigkeit der Authentifizierungsdaten und der Autorisierungsdaten zu bestimmen, wobei der Bereich von gültigen Epoch-IDs eine Vielzahl von gültigen Epoch-IDs für die aktuelle Epoche und für eine vorhergehende Epoche vor der aktuellen Epoche umfasst;

Bestimmen einer betrügerischen Erstellung der Authentifizierungsdaten oder der Autorisierungsdaten auf der Basis einer fehlgeschlagenen Entschlüsselung oder wenn die Entschlüsselung erfolgreich ist und die Nutzer-Epoch-ID aus den entschlüsselten autorisierten Nutzerdaten nicht die gültige Epoch-ID ist; und

wenn die Nutzer-Epoch-ID in einem Bereich von gültigen Epoch-IDs liegt und die Entschlüsselung der autorisierten Nutzerdaten erfolgreich war, Verarbeiten der entschlüsselten Nutzerdaten und der Anforderung;

wobei sich das Datenverarbeitungssystem im Internet außerhalb des externen Systems und außerhalb des Nutzers befindet und wobei das Datenverarbeitungssystem über das Internet durch einen Tunnel, einen Transparent-Proxy, einen Forward-Proxy oder durch eine Umleitung zu dem Verarbeitungsknoten kommunikativ mit dem Nutzer gekoppelt ist und sämtliche Kommunikationen des Nutzers durch das Datenverarbeitungssystem laufen.